Cloud und das deutsche Recht

Das Modell Cloud Computing, abgekürzt CC, sei mehr als ein vorübergehender Trend, hieß es beim EuroCloud Congress 2011. Bei den externen Clouds müssen die Unternehmen Server und Softwarelösungen nicht selbst anschaffen, sondern mieten die benötigten Kapazitäten für Daten, Rechenleistung und Anwendungen bei professionellen Anbietern.

In externen Clouds passiert es oft, dass der sogenannte direkte Provider, mit dem ein Unternehmen einen Vertrag abschließt, die Daten des Kunden an einen sogenannten Drittprovider zur Verarbeitung abgibt. Es kann schwierig sein, den Drittprovider zu ermitteln, vor allem wenn er sich außerhalb Europas befindet.

Dank der Open-Source-Implementierung "Eucalyptus" sind in den vergangenen drei Jahren mehr als 25.000 private Clouds weltweit entstanden. Wissenschaftler der Ruhr-Universität Bochum entdeckten bei "Eucalyptus" eine kritische Lücke, durch die man in den Daten-Bereich von anderen Unternehmen gelangen konnte.

Mit einem ,Signature Wrapping'-Angriff gelang es den Forschern, die Cloud-Kontrollschnittstelle zu umgehen. Beim Hersteller "Eucalyptus Systems" wurde das Problem sehr ernst genommen und innerhalb kürzester Zeit behoben.

Auch andere Fachleute halten Clouds für enorm riskant. Der Kostenvorteil könne leicht ins Gegenteil umschlagen. Schon heute werden speziell mittelständische Unternehmen massiv ausspioniert und Patente geklaut. Es erfordert viel Aufwand, das Risiko gering zu halten. Ein Restrisiko bleibt immer.

Microsoft gab im Juni bekannt, Daten müssten auch an das FBI und andere USBehörden herausgegeben werden. Darüber verhandelten die deutschen Datenschutzbeauftragten des Bundes und der Länder bei ihrer 82. Konferenz Ende September. Sie kamen zum Schluss, dass deutsche Unternehmen Clouds von US-Anbietern nutzen können, wenn sie die "Orientierungshilfe - Cloud Computing" berücksichtigen.

Personenbezogene Daten sollten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums verarbeitet werden. Außereuropäische Cloud-Anbieter sollten sich vertraglich dem EU und noch besser dem deutschen Recht unterstellen. Wichtig dabei ist, dass diese Anforderungen auch für bereits bestehende Verträge gelten.

Werden sie nicht eingehalten, drohen den deutschen Unternehmen schwerwiegende Konsequenzen. Die Datenschutzbeauftragten fordern Cloud-Anbieter sowie die Cloud-Anwender auf, ihre Dienstleistungen datenschutzkonform zu gestalten, auch wenn das mitunter schwierig umzusetzen ist.

Cloud-Computing dürfe nicht dazu führen, dass Organisationen und Unternehmen die Daten verarbeiten, nicht mehr in der Lage sind, die Verantwortung für die eigene Datenverarbeitung zu tragen.

Checkliste: Tipps für wichtige Vertragsklauseln

Die Daten in der Cloud: Der Cloud Provider darf ohne vorheriges Einverständnis des Kunden keine Daten an andere Dienstleister weitergeben.

Haftungsklauseln prüfen: Datenschutzpflichten sind klar festzulegen, auch für Dritt- und weitere Provider. Ein Mangel an aussagekräftigen Haftungsklauseln kann die Vereinbarung von Datenschutzpflichten unwirksam machen.

Ansprüche im Schadensfall: Bei einem Angriff trägt der Cloud Provider das Risiko, wenn der Datenschutz verletzt wird und entschädigt die Kunden für alle aus der Datenschutzverletzung entstehenden Ansprüche sowie für Verluste und Mehraufwand.

Strafmaß bei Missbrauch: Für den Fall von Missbräuchen werden eine Konventionalstrafe und das Recht auf sofortige Vertragsauflösung vereinbart, Letzteres auch bei Konkurs des Providers.

Komplette Datenlöschung: Der Anbieter sollte vertraglich garantieren, dass sich Daten jederzeit komplett löschen lassen, vor allem bei Auflösung der Zusammenarbeit.